Informationssicherheitskonzept

Eine Kapitalverwaltungsgesellschaft, mit einem Jahresumsatz von über 50 Millionen Euro, stand vor der Herausforderung, ihr Informationssicherheitskonzept zu überarbeiten, um den Anforderungen der KAIT (BaFin) sowie der DORA (EU-Richtlinie) zu genügen. Als externer Berater wurde ich beauftragt, dieses Projekt zu leiten.

Das Unternehmen hatte bislang keine umfassende Strategie zur Informationssicherheit, was angesichts der zunehmenden Cyber-Bedrohungen und strengen regulatorischen Anforderungen nicht mehr haltbar war. Unser Ziel war es, ein robustes Sicherheitskonzept zu entwickeln, das nicht nur den aktuellen Anforderungen genügt, sondern auch flexibel genug ist, um auf zukünftige Veränderungen reagieren zu können.

Die erste Phase des Projekts umfasste eine detaillierte Analyse der bestehenden IT-Infrastruktur und Sicherheitsprotokolle. Dazu verwendeten wir den Maßnahmenkatalog des IT-Grundschutzes des Bundesamts für Sicherheit in der Informationstechnik (BSI) als Referenz. Wir identifizierten mehrere kritische Schwachstellen, darunter veraltete Sicherheitssysteme und organisatorische Mängel.

Wir haben dann eine Gap-Analyse durchgeführt, was zu einer Liste von Maßnahmen führte, die die Unternehmung noch umzusetzen hatte. So haben wir umfassende Sicherheitsrichtlinien etabliert und Schulungen für alle Mitarbeiter durchgeführt. Dies umfasste die Sensibilisierung für Phishing-Angriffe, die sichere Handhabung sensibler Daten und die Bedeutung regelmäßiger Passwortänderungen. Zudem wurden regelmäßige Penetrationstests etabliert, um die Wirksamkeit der neuen Maßnahmen zu überprüfen. Essenziell für den Erfolg des Projekts war auch ein klares Dokumentations- und Berichtswesen, das den Anforderungen von KAIT und DORA entspricht. Dazu gehörte die Entwicklung eines Incident-Response-Plans für potenzielle Sicherheitsvorfälle.

Eine der größten Herausforderungen war die Überwindung interner Widerstände gegen die neuen Sicherheitsmaßnahmen, insbesondere bei der Einführung restriktiverer Zugangskontrollen und Überwachungssysteme. Um diese Herausforderungen zu bewältigen, führte ich mehrere Workshops und Einzelgespräche durch, um die Bedeutung dieser Änderungen zu verdeutlichen und Ängste abzubauen.

Durch die Implementierung des neuen Sicherheitskonzepts konnte XYZ seine Informationssicherheit erheblich verbessern. Die Organisation erfüllt nun nicht nur die Anforderungen von KAIT und DORA, sondern hat auch ihr Risiko für Cyberangriffe und Datenverluste reduziert. Das Projekt war nach 20 Wochen abgeschlossen und wurde vom Kunden mit 80.000 € vergütet.